Οι δύο Ρουμάνοι έτρεχαν δύο υπηρεσίες κρυπτογράφησης κακόβουλου λογισμικού που ονομάζονται CyberSeal και DataProtector και μια υπηρεσία δοκιμών κακόβουλου λογισμικού που ονομάζεται CyberScan.
Οι αστυνομικές δυνάμεις της Ρουμανίας συνέλαβαν την Πέμπτη δύο άτομα που είναι ύποπτα, ότι διαθέτουν τρεις διαδικτυακές υπηρεσίες που προορίζονται για την ενίσχυση της ανάπτυξης και της διανομής κακόβουλου λογισμικού.
Οι συλλήψεις αποτελούν μέρος μιας κοινής επιχείρησης που περιλάμβανε τα FBI, την Ευρωπόλ, την Αυστραλιανή και τη Νορβηγική αστυνομία.
Οι ερευνητές δήλωσαν ότι οι δύο Ρουμάνοι ύποπτοι πιστεύεται ότι είναι οι δημιουργοί τριών υπηρεσιών που ονομάζονται CyberSeal, DataProtector και CyberScan.
Οι δύο πρώτες είναι οι λεγόμενες υπηρεσίες “crypter”. Αυτοί οι τύποι εργαλείων επιτρέπουν στους προγραμματιστές κακόβουλου λογισμικού να κρύψουν τον κώδικα του κακόβουλου λογισμικού, ώστε να παρακάμψουν και να αποφύγουν το λογισμικό προστασίας από ιούς.
Η τρίτη υπηρεσία, που ονομάζεται CyberScan, λειτούργησε ως κλώνος της υπηρεσίας VirusTotal της Google. Επιτρέπει στους δημιουργούς κακόβουλου λογισμικού να ανεβάζουν και να σαρώνουν τις νέες κυκλοφορίες κακόβουλου λογισμικού τους και να δουν αν θα ανιχνευόταν από λογισμικό προστασίας από ιούς.
Η διαφορά μεταξύ του CyberScan και του VirusTotal ήταν ότι το CyberScan δεν μοιράστηκε τα αποτελέσματα σάρωσης με προμηθευτές προστασίας από ιούς, επιτρέποντας σε συγγραφείς κακόβουλου λογισμικού να δοκιμάσουν την ανιχνευσιμότητα των ωφέλιμων φορτίων τους χωρίς να φοβούνται ότι μια “ειδοποίηση ανίχνευσης” θα σταλεί πίσω στην εταιρεία προστασίας από ιούς και θα προκαλέσει έρευνα.
Οι δύο ύποπτοι ήταν ενεργοί στη σκηνή του κακόβουλου λογισμικού από το 2014 τουλάχιστον όταν άρχισαν να διαφημίζουν το CyberSeal. Οι δύο άλλες υπηρεσίες ξεκίνησαν το 2015 (DataProtector) και το 2019 (CyberScan).
Και οι τρεις διαφημίστηκαν σε πολλαπλά φόρουμ εισβολής για τιμές που κυμαίνονται από 40 $ έως 150 $.
Η Europol είπε ότι τα τρία εργαλεία έχουν χρησιμοποιηθεί συχνά για κρυπτογράφηση και δοκιμή διαφορετικών τύπων κακόβουλου λογισμικού, όπως RAT (Remote Access Trojans), για κλοπή πληροφοριών και ransomware.
Περισσότεροι από 1.560 δημιουργοί κακόβουλου λογισμικού χρησιμοποίησαν τις δύο υπηρεσίες κρυπτογράφησης για να καλύψουν τον κώδικα περισσότερων από 3.000 στελεχών κακόβουλου λογισμικού.
Οι αρχές καταδίκασαν τη συμμορία χθες, Πέμπτη 19 Νοεμβρίου, όταν έψαξαν σε τέσσερις τοποθεσίες στις πόλεις του Βουκουρεστίου και της Κραϊόβα στη Νότια Ρουμανία και πραγματοποίησαν τις δύο συλλήψεις.
Σύμφωνα με τη Διεύθυνση Έρευνας του Οργανωμένου Εγκλήματος και της Τρομοκρατίας της Ρουμανίας (DIICOT), ανακρίθηκαν επίσης δύο άλλα άτομα, τα οποία πιστεύεται ότι ανήκουν στην ομάδα.
Οι ερευνητές κατέλαβαν επίσης διακομιστές στη Ρουμανία, τη Νορβηγία και τις ΗΠΑ. Οι τομείς cyber-seal.org και cyberscan.org, που χρησιμοποιούνται για τη φιλοξενία δύο από τις υπηρεσίες, είναι πλέον εκτός σύνδεσης.
[signoff]
